Cyberprzestępcy stojący za oprogramowaniem ransomware Akira zarobili ponad 42 miliony dolarów w ciągu jednego roku

Według raportów CISA, FBI, Europolu i holenderskiego Narodowego Centrum Bezpieczeństwa Cybernetycznego (NCSC-NL) cyberprzestępcy odpowiedzialni za oprogramowanie Akira Ransomware zgromadzili oszałamiającą sumę ponad 42 milionów dolarów w ciągu zaledwie jednego roku. Ich nikczemne działania stały się ofiarami ponad 250 podmiotów na całym świecie, obejmujących szereg branż, w tym usługi, produkcję, edukację, budownictwo, infrastrukturę krytyczną, finanse, opiekę zdrowotną i sektor prawniczy.

Początkowo ograniczający się do atakowania systemów Windows, od kwietnia 2023 r. Akira Ransomware rozszerzył swój zasięg, aby infekować maszyny wirtualne VMware ESXi. Co więcej, jego arsenał został wzmocniony dzięki integracji Megazorda rozpoczynającej się w sierpniu 2023 r., jak podkreślili CISA, FBI, Europol i NCSC-NL w niedawnym poradniku.

Operatorzy Akira Ransomware wykazali się wyrafinowanym sposobem działania, wykorzystując luki w zabezpieczeniach usług VPN pozbawionych uwierzytelniania wieloskładnikowego, w szczególności wykorzystując znane słabości produktów Cisco, takie jak CVE-2020-3259 i CVE-2023-20269. Stosują także taktyki, takie jak infiltracja protokołu zdalnego pulpitu (RDP), kampanie typu spear-phishing i wykorzystywanie ważnych danych uwierzytelniających w celu infiltracji środowisk ofiar.

Po uzyskaniu wstępnego dostępu ci ugrupowania zagrażające wykazują skrupulatne strategie utrzymywania się, tworząc nowe konta domen, wydobywając dane uwierzytelniające i przeprowadzając szeroko zakrojony rekonesans sieci i kontrolerów domeny. W poradniku podkreślono zauważalną ewolucję taktyki Akiry, obejmującą wdrożenie dwóch różnych wariantów oprogramowania ransomware przeciwko różnym architekturom systemów w ramach jednego zdarzenia naruszenia.

Chcąc uniknąć wykrycia i ułatwić ruch boczny, operatorzy Akira systematycznie wyłączają oprogramowanie zabezpieczające. Ich zestaw narzędzi obejmuje szereg aplikacji do eksfiltracji danych i ustanawiania komunikacji typu „dowódca i kontrola”, w tym FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok i RustDesk.

Podobnie jak inne syndykaty oprogramowania ransomware , Akira przyjmuje model podwójnego wymuszenia, wydobywając dane ofiar przed zaszyfrowaniem i żądając płatności w Bitcoinach za pośrednictwem kanałów komunikacyjnych opartych na Tor. Napastnicy jeszcze bardziej zwiększają presję, grożąc publicznym ujawnieniem wydobytych danych z sieci Tor, a w niektórych przypadkach bezpośrednio kontaktując się z organizacjami będącymi ofiarami.

W odpowiedzi na rosnący krajobraz zagrożeń niniejszy poradnik zapewnia obrońcom sieci wskaźniki kompromisu (IoC) powiązane z Akirą, wraz z zalecanymi strategiami łagodzenia skutków w celu wzmocnienia ich obrony przed takimi atakami.